Cyberbezpieczeństwo

Raport Netskope: 58% cyberataków to zupełnie nowe rodzaje złośliwego oprogramowania

Firma Netskope odnotowała znaczący wzrost ataków cyberprzestępców z użyciem aplikacji chmurowych w porównaniu do roku ubiegłego. W styczniu 2023 roku 54% wszystkich pobrań złośliwego oprogramowania pochodziło z nawet 142 aplikacji chmurowych. Znaczącą część tego oprogramowania stanowią pliki ZIP, które umożliwiają archiwizację i konwersję plików przed wysyłką. Natomiast wciąż większość pobrań złośliwego oprogramowania to tzw. trojany.  Z kolei aż 58% przypadków to zupełnie nowe, trudne do wykrycia przez standardowe narzędzia, rodzaje złośliwego oprogramowania atakującego użytkowników na całym świecie. Według różnych analiz, w skali globalnej dziennie atakowanych jest 30 000 stron internetowych.

Raport Netskope: 58% cyberataków to zupełnie nowe rodzaje złośliwego oprogramowania

W Europie 53% użytkowników regularnie korzysta i przesyła dane do rozwiązań informatycznych w chmurze, a aż 92% regularnie je z niej pobiera. Dwie najpopularniejsze aplikacje to Microsoft OneDrive i Google Drive. Średnia liczba aplikacji w chmurze, z którymi europejski użytkownik styka się miesięcznie wzrosła o 29% w ciągu ostatnich 12 miesięcy. Każdy przeciętny użytkownik z Europy korzysta obecnie z 18 takich rozwiązań miesięcznie, w porównaniu do 24, z którymi styka się statystyczny użytkownik na świecie.

Jak wygląda natomiast przesyłanie i odbieranie wrażliwych danych w sieci? Użytkownicy z Europy pobierają informacje z aplikacji w chmurze w takim samym tempie jak użytkownicy na całym świecie – 92% pobiera dane każdego miesiąca. Jednak Europejczycy pozostają w tyle za resztą świata pod względem przesyłania danych. 53% przesyła dane do aplikacji w chmurze każdego miesiąca, podczas gdy w innych regionach świata ten odsetek wynosi 68%. W ciągu ostatnich dwunastu miesięcy Europa zmniejszyła tę różnicę, ponieważ ilość danych przesyłanych do aplikacji w chmurze wzrosła o 12%. W porównaniu z innymi regionami Europa (44%) plasuje się w środku stawki pod względem pobrań złośliwego oprogramowania w chmurze. Bliski Wschód i Afryka mają najniższy odsetek takich praktyk. Największy 57% Australia, 51% Ameryka Północna oraz 47% Azja.

„W styczniu tego roku aż 54% wszystkich pobrań złośliwego oprogramowania na całym świecie pochodziło z popularnych aplikacji chmurowych. To był trzeci miesiąc wzrostu i największy poziom od ostatnich 6 miesięcy. Wzrost pobrań złośliwego oprogramowania z chmury jest częściowo wynikiem wzrostu liczby i popularności różnych aplikacji chmurowych, z których korzystamy, a które mogą być zainfekowane złośliwym oprogramowaniem” – komentuje Michał Borowiecki, dyrektor Netskope na Polskę i Europę Wschodnią.

Cyberprzestępcy odnoszą największe sukcesy w docieraniu do użytkowników korporacyjnych, gdy wykorzystują właśnie najbardziej popularne wśród pracowników danej firmy aplikacje chmurowe. Obecnie to Microsoft OneDrive zajmuje pierwsze miejsce w rankingu największej liczby pobrań złośliwego oprogramowania z chmury. Inne popularne aplikacje do pobierania złośliwego oprogramowania obejmują darmowe usługi hostingowe (Weebly), aplikacje do przechowywania w chmurze (Amazon S3, Dropbox, Google Drive), aplikacje do pracy grupowej (Sharepoint), aplikacje pocztowe (Google Gmail, Outlook.com) oraz darmowe strony hostingowe  (GitHub, SourceForge). Co ciekawe, coraz częściej atakujący wykorzystują do dostarczania złośliwego oprogramowania już skompresowane pliki, zwłaszcza typu ZIP. Coraz rzadziej korzystają natomiast z bardzo popularnych wcześniej plików PDF.

“Warto zauważyć, że obecnie jesteśmy w trakcie kolejnej rewolucji w zakresie rozwiązań cyberbezpieczeństwa, które są pochodną hybrydowego środowiska pracy jakie zostało zaimplementowane w ogromnej większości firm. Żeby zabezpieczyć dane pobierane z każdej dostępnej lokalizacji oraz aplikacji, także tych znajdujących się w chmurze, firmy muszą korzystać z rozwiązań, które przede wszystkim zapewniają widoczność tych danych i dają możliwość zarządzania oraz kontroli w czasie rzeczywistym. Obecnie 95% takiego ruchu to „shadow IT” czyli ruch niewidoczny dla administratora bezpieczeństwa, a tym samym potencjalnie niezwykle groźny dla organizacji. Tylko takie podejście z możliwością zarządzania tego ruchu, może wykluczyć na przykład kradzież cennych informacji z firmy, która z kolei może doprowadzić do wymiernych strat finansowych przedsiębiorstwa” – uważa Michał Borowiecki.

Pod względem wolumenu, Netskope blokuje obecnie najwięcej trojanów spośród złośliwego oprogramowania wykorzystywanego przez cyberprzestępców. Są one wykorzystywane do tego, aby dostarczyć inne rodzaje złośliwego oprogramowania, takie jak infostealery czy ransomware. Inne popularne rodzaje złośliwego oprogramowania to pułapki phishingowe (zwykle pliki PDF) oraz wirusy komputerowe, które dostarczają dodatkowe złośliwe pliki i infostealery, których głównym celem jest kradzież informacji (szczególnie haseł, tokenów i ciasteczek).

Poniżej lista malware i ransomware zablokowanych przez Netskope w styczniu tego roku:

Backdoor.Zusy (a.k.a. TinyBanker) – to trojan bankowy oparty na kodzie źródłowym Zeusa, mający na celu kradzież informacji osobistych poprzez wstrzykiwanie kodu do stron internetowych.

Downloader.Guloader – to niewielki downloader znany z dostarczania RAT i infostealerów, takich jak AgentTesla, Formbook i Remcos.

Infostealer.AgentTesla – to trojan zdalnego dostępu oparty na technologii .NET, posiadający wiele możliwości, takich jak kradzież haseł przeglądarki, przechwytywanie naciśnięć klawiszy, schowka itp.

Infostealer.ClipBanker – to infostealer, który kradnie informacje bankowe wśród innych danych i jest zwykle rozprzestrzeniany za pośrednictwem wiadomości e-mail i mediów społecznościowych.

Infostealer.Fareit (a.k.a Siplog, Pony) – to zarówno infostealer, jak i botnet, wykradający dane uwierzytelniające z sieci VPN, przeglądarek i nie tylko.

Phishing.PhishingX – to złośliwy plik PDF wykorzystywany jako część kampanii phishingowej w celu przekierowania ofiar na stronę phishingową.

RAT.Remcos – to trojan zdalnego dostępu, który zapewnia obszerną listę funkcji do zdalnego kontrolowania urządzeń i jest popularnie nadużywany przez wielu napastników.

Ransomware.Crysis (a.k.a Arena, Dharma, Wadhrama, ncov) – to wariant ransomware zazwyczaj instalowany przez atakujących, którzy uzyskują początkowy dostęp za pośrednictwem RDP.

Ransomware.ViceSociety – to wariant ransomware znany z tego, że jest wykorzystywany jako cel ataku na instytucje opieki zdrowotnej i edukacyjne.

Trojan.Valyria (a.k.a. POWERSTATS) – to rodzina złośliwych dokumentów Microsoft Office, które zawierają osadzone złośliwe skrypty VBScript, zwykle służące do dostarczania innych złośliwych ładunków.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *